CHAPTER
6
インターフェイスの設定
この章では、イーサネット パラメータ、スイッチ ポート(ASA 5505 用)、Virtual LAN(VLAN; バー
チャル LAN)サブインターフェイス、Internet Protocol(IP; インターネット プロトコル)アドレッシ
ングなどのインターフェイスを設定する方法について説明します。
インターフェイスを設定する手順は、ASA 5505 と その他のモデル、ルーテッド モードと トランスペ
アレント モード、シングルモードと マルチモードなど、さまざまな要素によって異なります。この章
では、このようなさまざまな要素ごとのインターフェイスの設定方法について説明します。
(注)
ご使用の適応型セキュリティ アプライアンスに工場出荷時のデフォルト コンフィギュレーションが設
定されている場合は、多くのインターフェイス パラメータがすでに設定されています。ここでは、工
場出荷時のデフォルト コンフィギュレーションが設定されていない、またはデフォルト コンフィギュ
レーションが設定されているがその設定を変更する必要があることを前提としています。工場出荷時の
デフォルト コンフィギュレーションについては、「工場出荷時のデフォルト コンフィギュレーション」
(P.2-1)を参照してください。
この章には、次の項があります。
• 「インターフェイスに関する情報」(P.6-1)
• 「インターフェイスのライセンス要件」(P.6-7)
• 「ガイドラインと制限事項」(P.6-7)
• 「デフォルト設定」(P.6-8)
• 「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」(P.6-9)
• 「インターフェイス コンフィギュレーションの開始(ASA 5505)」(P.6-17)
• 「インターフェイス コンフィギュレーションの実行(すべてのモデル)」(P.6-23)
• 「同じセキュリティ レベルの通信の許可」(P.6-32)
• 「ジャンボ フレーム サポートのイネーブル化(ASA 5580)」(P.6-33)
• 「インターフェイスの監視」(P.6-34)
• 「インターフェイスの設定例」(P.6-34)
• 「インターフェイスの機能履歴」(P.6-35)
インターフェイスに関する情報
この項では、適応型セキュリティ アプライアンスのインターフェイスについて説明します。次の項目
を取り上げます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-1
第6章
インターフェイスの設定
インターフェイスに関する情報
• 「ASA 5505 のインターフェイス」(P.6-2)
• 「Auto-MDI/MDIX 機能」(P.6-5)
• 「セキュリティ レベル」(P.6-5)
• 「デュアル IP スタック」(P.6-6)
• 「管理インターフェイス(ASA 5510 以降)」(P.6-6)
ASA 5505 のインターフェイス
この項では、ASA 5505 適応型セキュリティ アプライアンスのポートおよびインターフェイスについて
説明します。次の項目を取り上げます。
• 「ASA 5505 ポートおよびインターフェイスの概要」(P.6-2)
• 「ライセンスで使用できる最大アクティブ VLAN インターフェイス数」(P.6-2)
• 「VLAN MAC アドレス」(P.6-4)
• 「Power Over Ethernet」(P.6-4)
ASA 5505 ポートおよびインターフェイスの概要
ASA 5505 適応型セキュリティ アプライアンスは組み込みスイッチをサポートしています。設定を行う
必要のあるポートおよびインターフェイスは、次の 2 種類です。
• 物理スイッチ ポート:適応型セキュリティ アプライアンスには 8 個のファスト イーサネット ス
イッチ ポートがあり、これらはハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィッ
クを転送します。これらのポートの 2 つは Power over Ethernet(PoE; イーサネット経由の電源供
給)ポートです。詳細については、「Power Over Ethernet」(P.6-4)を参照してください。これら
のインターフェイスは、PC、IP Phone 、DSL モデムなどのユーザ装置に直接接続することができ
ます。あるいは別のスイッチに接続できます。
• 論理 VLAN インターフェイス:これらのインターフェイスは、ルーテッド モードでファイア
ウォール サービスおよび Virtual Private Network(VPN; バーチャル プライベート ネットワーク)
サービスに適用される設定済みセキュリティ ポリシーを使用して、VLAN ネットワーク相互間のト
ラフィックをレイヤ 3 で転送します。これらのインターフェイスは、トランスペアレント モードで
ファイアウォール サービスに適用される設定済みセキュリティ ポリシーを使用して、同一ネット
ワーク上の VLAN 相互間のトラフィックをレイヤ 2 で転送します。最大 VLAN インターフェイス
数の詳細については、「ライセンスで使用できる最大アクティブ VLAN インターフェイス数」を参
照してください。VLAN インターフェイスを使用することにより、別々の VLAN、たとえばホーム
VLAN、ビジネス VLAN、インターネット VLAN などに装置を分けることができます。
スイッチ ポートを別々の VLAN に分離するには、各スイッチ ポートを VLAN インターフェイスに割
り当てます。同じ VLAN 上のスイッチ ポートは、ハードウェア スイッチングを使用して相互に通信で
きます。ただし、VLAN 1 のスイッチ ポートが VLAN 2 のスイッチ ポートと通信する場合、適応型セ
キュリティ アプライアンスは、セキュリティ ポリシーを 2 つの VLAN 間のトラフィックとルートまた
はブリッジに適用します。
ライセンスで使用できる最大アクティブ VLAN インターフェイス数
透過ファイアウォール モードでは、ライセンスに応じて次の VLAN を設定できます。
• 基本ライセンス:2 つのアクティブ VLAN。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-2
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイスに関する情報
• Security Plus ライセンス:3 つのアクティブ VLAN。そのうちの 1 つはフェールオーバー用に設定
する必要があります。
ルーテッド モードでは、ライセンスに応じて次の VLAN を設定できます。
• 基本ライセンス:3 つのアクティブ VLAN。3 つ目の VLAN は、別の VLAN へのトラフィックを
開始する目的に限り設定できます。詳細については、図 6-1 を参照してください。
• Security Plus ライセンス:20 個のアクティブ VLAN。
(注)
アクティブ VLAN とは、nameif コマンドが設定された VLAN のことです。
基本ライセンスでは、3 つ目の VLAN は、別の VLAN へのトラフィックを開始する目的に限り設定で
きます。図 6-1 のネットワークの例では、ホーム VLAN はインターネットと通信できますが、ビジネ
ス VLAN とは接続を開始できません。
図 6-1
基本ライセンスでの ASA 5505 適応型セキュリティ アプライアンス
ࠗࡦ࠲ࡀ࠶࠻
ASA 5505
ၮᧄࠗࡦࠬઃ߈
ળ␠
153364
⥄ቛ
Security Plus ライセンスでは、20 個の VLAN インターフェイスを設定できます。これには、フェール
オーバー用 VLAN と Internet Service Provider (ISP; インターネット サービス プロバイダー)への
バックアップ リンクとしての VLAN も含まれます。バックアップ インターフェイスは、プライマリ
インターフェイス経由のルートで障害が発生しない限り、トラフィックを通過させないように設定でき
ます。トランク ポートを設定して、1 つのポートで複数の VLAN を使用できます。
(注)
ASA 5505 適応型セキュリティ アプライアンスは、Active/Standby フェールオーバーをサポートして
いますが、ステートフル フェールオーバーをサポートしていません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-3
第6章
インターフェイスの設定
インターフェイスに関する情報
ネットワークの例については、図 6-2 を参照してください。
図 6-2
Security Plus ライセンスでの ASA 5505 適応型セキュリティ アプライアンス
ࡃ࠶ࠢࠕ࠶ࡊ ISP
ࡊࠗࡑ ISP
Security Plus
ࠗࡦࠬઃ߈
ASA 5505
DMZ
ࡈࠚ࡞ࠝࡃ
ASA 5505
ౝㇱ
153365
ࡈࠚ࡞ࠝࡃ ࡦࠢ
VLAN MAC アドレス
• ルーテッド ファイアウォール モード:すべての VLAN インターフェイスが Media Access Control
(MAC; メディア アクセス制御)アドレスを共有します。接続スイッチがどれもこのシナリオをサ
ポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC ア
ドレスを割り当てることができます。「MAC アドレスの設定」(P.6-28)を参照してください。
• 透過ファイアウォール モード:各 VLAN に固有の MAC アドレスが割り当てられます。必要に応
「MAC
じて、手動で MAC アドレスを割り当てて、生成された MAC アドレスを上書きできます。
アドレスの設定」(P.6-28)を参照してください。
Power Over Ethernet
Ethernet 0/6 および Ethernet 0/7 は、IP 電話や無線アクセス ポイントなどのデバイス用に PoE をサ
ポートしています。非 PoE デバイスをインストールした場合やこれらのスイッチ ポートに接続しない
場合、適応型セキュリティ アプライアンスはスイッチ ポートに電源を供給しません。
shutdown コマンドを使用してスイッチ ポートをシャットダウンすると、デバイスへの電源がディセー
ブルになります。no shutdown コマンドを使用してポートをイネーブルにすると、電源が復元します。
スイッチ ポートのシャットダウンの詳細については、「スイッチ ポートのアクセス ポートとしての設
定とイネーブル化」(P.6-18)を参照してください。
接続されているデバイスのタイプ(Cisco または IEEE 802.3af)など、PoE スイッチ ポートのステー
タスを確認するには、show power inline コマンドを使用します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-4
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイスに関する情報
SPAN を使用したトラフィックの監視
1 つまたは複数のスイッチ ポートを出入りするトラフィックを監視するには、スイッチ ポート モニタ
リングとも呼ばれる Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)をイネーブルに
します。SPAN をイネーブルにしたポート(宛先ポートと呼ばれる)は、特定の送信元ポートで送受信
するすべてのパケットのコピーを受信します。SPAN 機能を使用すれば、スニファを宛先ポートに添付
して、すべてのトラフィックを監視できます。SPAN を使用しないと、監視するポートごとにスニファ
を添付しなければなりません。SPAN は、1 つの宛先ポートに限りイネーブルにできます。
詳細については、『Cisco ASA 5500 Series Command Reference』の switchport monitor コマンドを参
照してください。
ASA 5580 のインターフェイス
ASA 5580 適応型セキュリティ アプライアンスは、ギガビット イーサネット速度や 10 ギガビット イー
サネット速度、銅線コネクタやファイバ コネクタなど、さまざまなタイプのイーサネット インター
フェイスをサポートしています。ASA 5580 適応型セキュリティ アプライアンスで使用できるインター
フェイス アダプタと各アダプタ タイプをサポートするスロットの詳細については、『Cisco ASA 5580
Adaptive Security Appliance Getting Started Guide』を参照してください。
Auto-MDI/MDIX 機能
ASA 5500 シリーズ適応型セキュリティ アプライアンスの RJ-45 インターフェイスでは、デフォルト
のオートネゴシエーション設定に Auto-Media-Dependent Interface(MDI; メディア依存型インター
フェイス)/Media-Dependent Interface crossover(MDIX; メディア依存型インターフェイス クロス
オーバー)機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでスト
レート ケーブルが検出されると、内部クロスオーバーを実行して、クロス ケーブルによる接続を不要
にします。インターフェイスで Auto-MDI/MDIX をイネーブルにするには、速度または二重通信のい
ずれかをオートネゴシエーションに設定する必要があります。速度と二重通信の両方に固定値を明示的
に設定して、両方の設定に関するオートネゴシエーションをディセーブルにすると、Auto-MDI/MDIX
もディセーブルになります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設
定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX
は常にイネーブルになり、ディセーブルにできません。
セキュリティ レベル
各インターフェイスには、0(最下位)~ 100(最上位)のセキュリティ レベルを設定する必要があり
ます。たとえば、内部ホスト ネットワークなど、最もセキュアなネットワークにはレベル 100 を割り
当てる必要があります。一方、インターネットなどに接続する外部ネットワークにはレベル 0 が割り当
てられる場合があります。Demiliterized Zone(DMZ; 非武装地帯)など、その他のネットワークはそ
の中間に設定できます。複数のインターフェイスを同じセキュリティ レベルに割り当てることができ
ます。詳細については、「同じセキュリティ レベルの通信の許可」(P.6-32)を参照してください。
各レベルは、次の動作を制御します。
• ネットワーク アクセス:デフォルトでは、セキュリティ レベルの高いインターフェイスからセ
キュリティ レベルの低いインターフェイス(発信)へのアクセスは、暗黙的に許可されます。セ
キュリティ レベルの高いインターフェイス上のホストは、セキュリティ レベルの低いインター
フェイス上のホストにアクセスできます。アクセスは、インターフェイスにアクセスリストを適用
すると制限できます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-5
第6章
インターフェイスの設定
インターフェイスに関する情報
同じセキュリティ レベルのインターフェイスの通信をイネーブルにすると(「同じセキュリティ レ
ベルの通信の許可」
(P.6-32)を参照)、同じセキュリティ レベルまたはそれより低いセキュリティ
レベルの他のインターフェイスにアクセスするインターフェイスは、暗黙的に許可されます。
• 検査エンジン:一部のアプリケーション検査エンジンはセキュリティ レベルに依存します。同じ
セキュリティ レベルのインターフェイスの場合、検査エンジンはどちらの方向のトラフィックに
も適用されます。
– NetBIOS 検査エンジン:発信接続だけに適用されます。
– SQL*Net 検査エンジン:SQL*Net(旧称 OraServ)ポートとの制御接続が一対のホスト間に
存在する場合、着信データ接続だけが適応型セキュリティ アプライアンスを通過することが
許可されます。
• フィルタリング:HTTP(S)フィルタリングおよび FTP フィルタリングは、発信接続(高いレベ
ルから低いレベルへの接続)に対してだけ適用されます。
同じセキュリティ レベルのインターフェイス間の通信をイネーブルにすると、どちらの方向のト
ラフィックにもフィルタリングが適用できます。
• NAT 制御:Network Address Translation(NAT; ネットワーク アドレス変換)制御をイネーブルに
する場合、セキュリティ レベルの低いインターフェイス(外部)上のホストにアクセスするセ
キュリティ レベルの高いインターフェイス(内部)上のホストに NAT を設定する必要がありま
す。
NAT 制御がない場合、または同じセキュリティ レベルのインターフェイスの場合は、任意のイン
ターフェイス間で NAT を使用するように選択することも、NAT を使用しないように選択すること
もできます。外部インターフェイスに対して NAT を設定すると、特殊なキーワードが必要になる
場合があることに留意してください。
• established コマンド:このコマンドを使用すると、セキュリティ レベルの高いホストからセキュ
リティ レベルの低いホストに接続がすでに確立されている場合に、セキュリティ レベルの低いホ
ストからセキュリティ レベルの高いホストへのリターン接続が許可されます。
セキュリティ レベルが同じインターフェイス間の通信をイネーブルにすると、両方向に対して
established コマンドを設定できます。
デュアル IP スタック
適応型セキュリティ アプライアンスは、1 つのインターフェイス上で IPv6 と IPv4 の両方のコンフィ
ギュレーションをサポートします。そのために特別なコマンドを入力する必要はありません。単純に、
IPv4 コンフィギュレーション コマンドと IPv6 コンフィギュレーション コマンドを通常と同じように
入力します。IPv4 と IPv6 の両方で、デフォルト ルートを設定してください。
管理インターフェイス(ASA 5510 以降)
管理インターフェイスは、管理トラフィックだけを対象に設計されているファスト イーサネット イン
ターフェイスです。コマンドでは management 0/0 と指定されます。ただし、必要に応じて、トラ
フィックを通すために使用することもできます(management-only コマンドを参照)。透過ファイア
ウォール モードでは、トラフィックの通過が許可される 2 つのインターフェイスの他に、管理イン
ターフェイスを(管理目的で)使用できます。サブインターフェイスを管理インターフェイスに追加し
て、マルチコンテキスト モードのセキュリティ コンテキストごとに管理を提供することもできます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-6
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイスのライセンス要件
インターフェイスのライセンス要件
次の表に、VLAN のライセンス要件を示します。
モデル
ライセンス要件
ASA 5505
基本ライセンス:3(2 つの正規ゾーンともう 1 つの制限ゾーンだけが他の 1 つのゾーンと通信可能)
Security Plus ライセンス:20
ASA 5510
基本ライセンス:50
Security Plus ライセンス:100
ASA 5520
基本ライセンス:150
ASA 5540
基本ライセンス:200
ASA 5550
基本ライセンス:250
ASA 5580
基本ライセンス:250
次の表に、VLAN トランクのライセンス要件を示します。
モデル
ライセンス要件
ASA 5505
基本ライセンス:なし
Security Plus ライセンス:8
他のすべてのモデル
該当なし
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキスト モードのガイドライン
マルチコンテキスト モードでは、「インターフェイス コンフィギュレーションの開始(ASA 5510 以
降)」(P.6-9)に従って、システム実行スペースで物理インターフェイスを設定します。
次に、「インターフェイス コンフィギュレーションの実行(すべてのモデル)」(P.6-23)に従って、コ
ンテキスト実行スペースで論理インターフェイス パラメータを設定します。
ファイアウォール モードのガイドライン
透過ファイアウォール モードでは、2 つのインターフェイスだけがトラフィックを通過させることがで
きます。ただし、ASA 5510 以降の適応型セキュリティ アプライアンスでは、Management 0/0 または
0/1 のインターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用
の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にす
る必要があります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-7
第6章
インターフェイスの設定
デフォルト設定
フェールオーバーのガイドライン
フェールオーバー インターフェイスの設定は、
「インターフェイス コンフィギュレーションの実行(す
べてのモデル)」(P.6-23)の手順では完了しません。フェールオーバー リンクおよびステート リンク
の設定については、「Active/Standby フェールオーバー設定値の設定」(P.33-1)または
「Active/Active フェールオーバー設定値の設定」(P.34-1)を参照してください。マルチコンテキスト
モードでは、フェールオーバー インターフェイスがシステム コンフィギュレーションに設定されます。
IPv6 のガイドライン
IPv6 をサポートします。
トランスペアレント モードでインターフェイスごとに設定できるのは、リンクローカル アドレスだけ
です。グローバル アドレスは、インターフェイスごとではなく、装置全体の管理アドレスとして設定
します。管理グローバル IP アドレスを設定するとリンクローカル アドレスがインターフェイスごとに
自動的に設定されるため、「IPv6 アドレスの設定」(P.8-9)に従って、実行する必要がある IPv6 コン
フィギュレーションだけに管理 IP アドレスを設定します。
モデルのガイドライン
サブインターフェイスは、ASA 5505 適応型セキュリティ アプライアンスでは利用できません。
デフォルト設定
この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインター
フェイスのデフォルト設定を示します。工場出荷時のデフォルト コンフィギュレーションについては、
「工場出荷時のデフォルト コンフィギュレーション」(P.2-1)を参照してください。
デフォルトのセキュリティ レベル
デフォルトのセキュリティ レベルは 0 です。インターフェイスに名前「inside」を付けて、明示的にセ
キュリティ レベルを設定しないと、適応型セキュリティ アプライアンスはセキュリティ レベルを 100
に設定します。
(注)
インターフェイスのセキュリティ レベルを変更したときに、既存の接続がタイムアウトするまで待機
せずに新しいセキュリティ情報を使用する必要がある場合は、clear local-host コマンドを使用して接
続をクリアできます。
インターフェイスのデフォルトの状態
インターフェイスのデフォルトの状態は、タイプとコンテキスト モードによって異なります。
マルチコンテキスト モードでは、システム実行スペース内でのインターフェイスの状態に関係なく、
割り当てられているインターフェイスはすべてデフォルトでイネーブルになっています。ただし、トラ
フィックがインターフェイスを通過できるようにするには、インターフェイスをシステム実行スペース
内でもイネーブルにする必要があります。インターフェイスをシステム実行スペースでシャットダウン
すると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでダウ
ンします。
シングルモードまたはシステム実行スペースでは、インターフェイスはデフォルトで次の状態になって
います。
• 物理インターフェイスおよびスイッチ ポート:ディセーブル。
• 冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過できる
ようにするには、メンバーの物理インターフェイスもイネーブルにする必要があります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-8
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
• サブインターフェイスまたは VLAN:イネーブル。ただし、トラフィックがサブインターフェイ
スを通過できるようにするには、物理インターフェイスもイネーブルにする必要があります。
デフォルトの速度および二重通信
• デフォルトでは、銅線(RJ-45)インターフェイスの速度と二重通信は、オートネゴシエーション
に設定されます。
• ASA 5550 および 4GE SSM のファイバ インターフェイスでは、速度は固定であり、二重通信はサ
ポートされていませんが、インターフェイスをリンク パラメータ ネゴシエーションあり(デフォ
ルト)またはネゴシエーションなしに設定することができます。
• ASA 5580 のファイバ インターフェイスでは、自動リンク ネゴシエーションの速度が設定されま
す。
デフォルトのコネクタ タイプ
ASA 5550 適応型セキュリティ アプライアンスと ASA 5510 以降の適応型セキュリティ アプライアン
スの 4GE SSM には、銅線 RJ-45 とファイバ Small Form-Factor Pluggable(SFP; 着脱可能小型フォー
ム ファクタ)の 2 つのコネクタ タイプがあります。RJ-45 がデフォルトです。適応型セキュリティ ア
プライアンスを設定すると、ファイバ SFP コネクタを使用できます。
デフォルトの MAC アドレス
デフォルトでは、物理インターフェイスは焼き付け済み MAC アドレスを使用し、物理インターフェイ
スのすべてのサブインターフェイスは同じ焼き付け済み MAC アドレスを使用します。
インターフェイス コンフィギュレーションの開始(ASA
5510 以降)
この項では、ASA 5510 以降のインターフェイス コンフィギュレーションを開始するためのタスクにつ
いて説明します。
(注)
マルチコンテキスト モードでは、この項のすべてのタスクをシステム実行スペースで実行してくださ
い。コンテキストからシステム実行スペースに切り替えるには、changeto system コマンドを入力しま
す。
ASA 5505 のコンフィギュレーションについては、「インターフェイス コンフィギュレーションの開始
(ASA 5505)」(P.6-17)を参照してください。
この項は、次の内容で構成されています。
• 「インターフェイス コンフィギュレーションを開始するためのタスク フロー」(P.6-10)
• 「冗長インターフェイスの設定」(P.6-12)
• 「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」(P.6-10)
• 「VLAN サブインターフェイスと 802.1Q トランキングの設定」(P.6-15)
• 「コンテキストへのインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテ
キスト モード)」(P.6-16)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-9
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
インターフェイス コンフィギュレーションを開始するためのタスク フロー
インターフェイス コンフィギュレーションを開始するには、次の手順を実行します。
ステップ 1
(マルチコンテキスト モード)この項のタスクはすべてシステム実行スペースで実行します。コンテキ
ストからシステム実行スペースに切り替えるには、changeto system コマンドを入力します。
ステップ 2
物理インターフェイスをイネーブルにし、必要に応じてイーサネット パラメータを変更します。「物理
インターフェイスのイネーブル化およびイーサネット パラメータの設定」(P.6-10)を参照してくださ
い。
デフォルトでは、物理インターフェイスはディセーブルになっています。
ステップ 3
(オプション)冗長インターフェイス ペアを設定します。「冗長インターフェイスの設定」(P.6-12)を
参照してください。
論理冗長インターフェイスは、アクティブとスタンバイの物理インターフェイスからなるペアです。ア
クティブ インターフェイスに障害が発生すると、スタンバイ インターフェイスがアクティブになり、
トラフィックの通過が開始します。
ステップ 4
(オプション)VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q
トランキングの設定」(P.6-15)を参照してください。
ステップ 5
(マルチコンテキスト モード限定)インターフェイスをコンテキストに割り当てます(固有の MAC ア
ドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「コンテキストへのインター
(P.6-16)を参照
フェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)」
してください。
ステップ 6
「インターフェイス コンフィギュレーションの実行(すべてのモデル)」(P.6-23)に従って、インター
フェイス コンフィギュレーションを実行します。
物理インターフェイスのイネーブル化およびイーサネット パラメータの設定
この項では、物理インターフェイスをイネーブルにする方法と、特定の速度と二重通信を設定する方法
について説明します。
前提条件
マルチコンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストから
システム実行スペースに切り替えるには、changeto system コマンドを入力します。
詳細な手順
ステップ 1
設定するインターフェイスを指定するには、次のコマンドを入力します。
hostname(config)# interface physical_interface
hostname(config-if)#
physical_interface ID には、タイプ、スロット、およびポート番号を type[slot/]port という形式で指定
します。
物理インターフェイスには、次のタイプがあります。
• ethernet
• gigabitethernet
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-10
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
• tengigabitethernet
• management
タイプの後ろに slot/port を入力します。たとえば、gigabitethernet0/1 や ethernet 0/1 のように入力し
ます。
ステップ 2
(オプション)メディア タイプを SFP に設定するには(使用中のモデルで利用できる場合)、次のコマ
ンドを入力します。
hostname(config-if)# media-type sfp
デフォルトの RJ-45 に戻すには、media-type rj45 コマンドを入力します。
ステップ 3
(オプション)速度を設定するには、次のコマンドを入力します。
hostname(config-if)# speed {auto | 10 | 100 | 1000 | nonegotiate}
銅線インターフェイスのデフォルト設定は auto です。
SFP インターフェイスのデフォルト設定は no speed nonegotiate です。この設定では、速度が最大速
度に設定され、フロー制御パラメータとリモート障害情報のリンク ネゴシエーションがイネーブルに
なります。nonegotiate キーワードは、SFP インターフェイスで使用できる唯一のキーワードです。
speed nonegotiate コマンドは、リンク ネゴシエーションをディセーブルにします。
ステップ 4
(オプション)銅線インターフェイスの二重通信を設定するには、次のコマンドを入力します。
hostname(config-if)# duplex {auto | full | half}
auto 設定がデフォルトです。
ステップ 5
インターフェイスをイネーブルにするには、次のコマンドを入力します。
hostname(config-if)# no shutdown
インターフェイスをディセーブルにするには、shutdown コマンドを入力します。shutdown コマンド
を入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム
実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有してい
るすべてのコンテキストでシャットダウンします。
次の作業
オプション タスク:
• 冗長インターフェイス ペアを設定します。「冗長インターフェイスの設定」(P.6-12)を参照してく
ださい。
• VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキン
グの設定」(P.6-15)を参照してください。
必須タスク:
• マルチコンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の
MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「コンテキストへ
のインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)」
(P.6-16)を参照してください。
• シングルコンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。
「インターフェイス コンフィギュレーションの実行(すべてのモデル)」(P.6-23)を参照してくだ
さい。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-11
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
冗長インターフェイスの設定
論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタン
バイ インターフェイス)で構成されます。アクティブ インターフェイスに障害が発生すると、スタン
バイ インターフェイスがアクティブになり、トラフィックの通過が開始します。冗長インターフェイ
スを設定して適応型セキュリティ アプライアンスの信頼性を高めることができます。この機能は、デ
バイスレベルのフェールオーバーとは別個のものですが、必要な場合はフェールオーバーとともに冗長
インターフェイスも設定できます。
この項では、冗長インターフェイスを設定する方法について説明します。次の項目を取り上げます。
• 「冗長インターフェイスの設定」(P.6-12)
• 「アクティブ インターフェイスの変更」(P.6-14)
冗長インターフェイスの設定
この項では、冗長インターフェイスを作成する方法について説明します。デフォルトでは、冗長イン
ターフェイスはイネーブルになっています。
ガイドラインと制限事項
• 最大 8 個の冗長インターフェイス ペアを設定できます。
• 適応型セキュリティ アプライアンスのコンフィギュレーションはすべて、メンバーの物理イン
ターフェイスではなく論理冗長インターフェイスを参照します。
• 冗長インターフェイス遅延値は設定可能ですが、デフォルトでは、適応型セキュリティ アプライ
アンスはそのメンバー インターフェイスの物理タイプに基づくデフォルトの遅延値を継承します。
• 冗長インターフェイス ペアを構成する物理インターフェイスに対して設定できるのは、物理パラ
メータ(「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」(P.6-10)
で設定)、description コマンド、shutdown コマンド、および default や help などのランタイム
コマンドだけです。
• アクティブ インターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティ
ブになります。
フェールオーバー用にメンバー インターフェイスを追加する場合は、次のガイドラインに従います。
• フェールオーバー リンクまたはステート リンクに冗長インターフェイスを使用する場合、プライ
マリ装置だけでなくセカンダリ装置でも基本コンフィギュレーションの一部として冗長インター
フェイスを設定する必要があります。
• フェールオーバー リンクまたはステート リンクに冗長インターフェイスを使用する場合、2 つの
装置の間にスイッチまたはハブを設置する必要があります。2 つの装置を直接接続できません。ス
イッチまたはハブがない場合、プライマリ装置のアクティブ ポートをセカンダリ装置のスタンバ
イ ポートに直接接続することもできます。
• フェールオーバーが発生しているかどうか冗長インターフェイスを監視できます。
monitor-interface コマンドで、必ず論理冗長インターフェイス名を参照してください。
• アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーした場合、デバ
イスレベルのフェールオーバーを監視していると、冗長インターフェイスに障害が発生したことは
表示されません。物理インターフェイスの両方に障害が発生した場合だけ、冗長インターフェイス
に障害が発生したことが表示されます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-12
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
冗長インターフェイスの MAC アドレス
冗長インターフェイスは、追加された最初の物理インターフェイスの MAC アドレスを使用します。コ
ンフィギュレーション内のメンバー インターフェイスの順序を変更すると、使用する MAC アドレス
は、変更後の順序で先頭になるインターフェイスの MAC アドレスと一致するように変更されます。ま
たは、冗長インターフェイスに MAC アドレスを割り当てることができます。これはメンバー イン
ターフェイスの MAC アドレスに関係なく使用されます(「MAC アドレスの設定」(P.6-28)または
「コンテキストへのインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキス
(P.6-16)を参照)。アクティブ インターフェイスがスタンバイ インターフェイスにフェー
ト モード)」
ルオーバーすると、トラフィックが中断しないように同じ MAC アドレスが維持されます。
前提条件
• 両方のメンバー インターフェイスの物理タイプが同じである必要があります。たとえば、両方と
もイーサネットでなければなりません。
• 物理インターフェイスに名前を付けていると、冗長インターフェイスに追加できません。まず、そ
の名前を削除する必要があります。名前を削除するには、no nameif コマンドを使用します。
• マルチコンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキスト
からシステム実行スペースに切り替えるには、changeto system コマンドを入力します。
注意
すでにコンフィギュレーションに設定されている物理インターフェイスを使用している場合、名前
を削除するとそのインターフェイスを参照しているコンフィギュレーションはすべて消去されます。
詳細な手順
最大 8 個の冗長インターフェイス ペアを設定できます。冗長インターフェイスを設定するには、次の
手順を実行します。
ステップ 1
論理冗長インターフェイスを追加するには、次のコマンドを入力します。
hostname(config)# interface redundant number
hostname(config-if)#
number 引数には、1 ~ 8 の整数を指定します。
ステップ 2
冗長インターフェイスに最初のメンバー インターフェイスを追加するには、次のコマンドを入力します。
hostname(config-if)# member-interface physical_interface
物理インターフェイス ID については、「物理インターフェイスのイネーブル化およびイーサネット パ
ラメータの設定」の説明を参照してください。
インターフェイスを追加すると、インターフェイスのコンフィギュレーション(IP アドレスなど)は
すべて削除されます。
ステップ 3
冗長インターフェイスに 2 つ目のメンバー インターフェイスを追加するには、次のコマンドを入力し
ます。
hostname(config-if)# member-interface physical_interface
2 つ目のインターフェイスの物理タイプは、必ず最初のインターフェイスと同じにしてください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-13
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
メンバー インターフェイスを削除するには、no member-interface physical_interface コマンドを入力
します。冗長インターフェイスからメンバー インターフェイスの両方は削除できません。冗長イン
ターフェイスには少なくとも 1 つのメンバー インターフェイスが必要です。
[Add Redundant Interface] ダイアログボックスが表示されます。
[Interfaces] ペインに戻ります。
例
次の例では、2 つの冗長インターフェイスを作成しています。
hostname(config)# interface redundant 1
hostname(config-if)# member-interface gigabitethernet
hostname(config-if)# member-interface gigabitethernet
hostname(config-if)# interface redundant 2
hostname(config-if)# member-interface gigabitethernet
hostname(config-if)# member-interface gigabitethernet
0/0
0/1
0/2
0/3
次の作業
オプション タスク:
• VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキン
グの設定」(P.6-15)を参照してください。
必須タスク:
• マルチコンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の
MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「コンテキストへ
のインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)」
(P.6-16)を参照してください。
• シングルコンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。
「インターフェイス コンフィギュレーションの実行(すべてのモデル)」(P.6-23)を参照してくだ
さい。
アクティブ インターフェイスの変更
デフォルトでは、コンフィギュレーションで最初にリストされているインターフェイスが(使用可能で
あれば)、アクティブ インターフェイスになります。どのインターフェイスがアクティブかを表示する
には、次のコマンドを入力します。
hostname# show interface redundantnumber detail | grep Member
例:
hostname# show interface redundant1 detail | grep Member
Members GigabitEthernet0/3(Active), GigabitEthernet0/2
アクティブ インターフェイスを変更するには、次のコマンドを入力します。
hostname# redundant-interface redundantnumber active-member physical_interface
redundantnumber 引数には、冗長インターフェイス ID(redundant1 など)を指定します。
physical_interface には、アクティブにするメンバー インターフェイスの ID を指定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-14
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
VLAN サブインターフェイスと 802.1Q トランキングの設定
サブインターフェイスを使用すると、1 つの物理インターフェイスまたは冗長インターフェイスを、異
なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。1 つ以上の VLAN サ
ブインターフェイスを持つインターフェイスは、自動的に 802.1Q トランクとして設定されます。
VLAN では、指定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理
インターフェイスまたは適応型セキュリティ アプライアンスを追加しなくてもネットワーク上で使用
できるインターフェイスの数を増やすことができます。この機能は、各コンテキストに固有のインター
フェイスを割り当てることができるので、マルチコンテキスト モードで特に便利です。
ガイドラインと制限事項
• 最大サブインターフェイス数:使用するプラットフォームで許容される VLAN サブインターフェ
イス数を決定するには、「インターフェイスのライセンス要件」(P.6-7)を参照してください。
• 物理インターフェイス上のタグなしパケットの禁止:サブインターフェイスを使用する場合、物理
インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インター
フェイスはタグのないパケットを通過させることができるためです。この特性はまた、冗長イン
ターフェイス ペアのアクティブな物理インターフェイスにも当てはまります。サブインターフェ
イスでトラフィックを通過させるためには物理インターフェイスまたは冗長インターフェイスをイ
ネーブルにする必要があるため、nameif コマンドを除外して、物理インターフェイスまたは冗長
インターフェイスがトラフィックを通過させないようにしてください。物理インターフェイスまた
は冗長インターフェイスでタグのないパケットを通過できるようにする場合は、通常どおりに
nameif コマンドを設定できます。インターフェイス コンフィギュレーションの詳細については、
「インターフェイス コンフィギュレーションの実行(すべてのモデル)」(P.6-23)を参照してくだ
さい。
前提条件
マルチコンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストから
システム実行スペースに切り替えるには、changeto system コマンドを入力します。
詳細な手順
サブインターフェイスを追加して、そのサブインターフェイスに VLAN を割り当てるには、次の手順
を実行します。
ステップ 1
サブインターフェイスを新たに指定するには、次のコマンドを入力します。
hostname(config)# interface {physical_interface | redundant number}.subinterface
hostname(config-subif)#
物理インターフェイス ID については、「ジャンボ フレーム サポートのイネーブル化(ASA 5580)」の
説明を参照してください。
redundant number 引数には、冗長インターフェイス ID(redundant 1 など)を指定します。
subinterface ID は、1 ~ 4294967293 の整数です。
次のコマンドは、サブインターフェイスをギガビット イーサネット インターフェイスに追加します。
hostname(config)# interface gigabitethernet 0/1.100
次のコマンドは、サブインターフェイスを冗長インターフェイスに追加します。
hostname(config)# interface redundant 1.100
ステップ 2
サブインターフェイスに VLAN を指定するには、次のコマンドを入力します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-15
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
hostname(config-subif)# vlan vlan_id
vlan_id は、1 ~ 4094 の整数です。一部の VLAN ID は接続スイッチ用に予約されている場合がありま
す。詳細については、スイッチのマニュアルを確認してください。
1 つの VLAN は 1 つのサブインターフェイスにだけ割り当てることができます。同じ VLAN を複数の
サブインターフェイスに割り当てることはできません。VLAN を物理インターフェイスに割り当てる
ことはできません。各サブインターフェイスは、VLAN ID がなければトラフィックを通過させること
はできません。VLAN ID を変更するには、no オプションを使用して以前の VLAN ID を削除する必要
はありません。異なる VLAN ID を使用して vlan コマンドを入力すると、適応型セキュリティ アプラ
イアンスで以前の ID が変更されます。
次の作業
• マルチコンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の
MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「コンテキストへ
のインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)」
(P.6-16)を参照してください。
• シングルコンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。
「インターフェイス コンフィギュレーションの実行(すべてのモデル)」(P.6-23)を参照してくだ
さい。
コンテキストへのインターフェイスの割り当てと MAC アドレスの自動割
り当て(マルチコンテキスト モード)
システム実行スペースでインターフェイス コンフィギュレーションを実行するには、第 5 章「マルチ
コンテキスト モードの管理」に記載されている次のタスクを実行します。
• インターフェイスをコンテキストに割り当てるには、「セキュリティ コンテキストの設定」
(P.5-17)を参照してください。
• (オプション)固有の MAC アドレスをコンテキスト インターフェイスに自動的に割り当てるには、
「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」(P.5-21)を参照してくださ
い。
MAC アドレスは、コンテキスト内のパケットを分類するために使用します。1 つのインターフェ
イスを共有するときに、各コンテキストでインターフェイスに固有の MAC アドレスが指定されて
「MAC アドレスの設定」
いない場合は、パケットの分類に宛先 IP アドレスが使用されます。また、
(P.6-28)に従って、コンテキスト内の MAC アドレスを手動で割り当てることもできます。
次の作業
インターフェイス コンフィギュレーションを実行します。
「インターフェイス コンフィギュレーション
の実行(すべてのモデル)」(P.6-23)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-16
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5505)
インターフェイス コンフィギュレーションの開始(ASA
5505)
この項では、VLAN インターフェイスを作成してスイッチ ポートに割り当てる方法など、ASA 5505
適応型セキュリティ アプライアンスのインターフェイス コンフィギュレーションを開始するためのタ
スクについて説明します。詳細については、「ASA 5505 ポートおよびインターフェイスの概要」
(P.6-2)を参照してください。
ASA 5510 以降のコンフィギュレーションについては、「インターフェイス コンフィギュレーションの
開始(ASA 5510 以降)」(P.6-9)を参照してください。
この項は、次の内容で構成されています。
• 「インターフェイス コンフィギュレーションを開始するためのタスク フロー」(P.6-17)
• 「VLAN インターフェイスの設定」(P.6-17)
• 「スイッチ ポートのアクセス ポートとしての設定とイネーブル化」(P.6-18)
• 「スイッチ ポートのトランク ポートとしての設定とイネーブル化」(P.6-21)
インターフェイス コンフィギュレーションを開始するためのタスク フロー
シングルモードでインターフェイスを設定するには、次の手順を実行します。
ステップ 1
VLAN インターフェイスを設定します。「VLAN インターフェイスの設定」(P.6-17)を参照してくだ
さい。
ステップ 2
スイッチ ポートをアクセス ポートとして設定し、イネーブルにします。「スイッチ ポートのアクセス
ポートとしての設定とイネーブル化」(P.6-18)を参照してください。
ステップ 3
(Security Plus ライセンスのオプション)スイッチ ポートをトランク ポートとして設定し、イネーブル
にします。「スイッチ ポートのトランク ポートとしての設定とイネーブル化」(P.6-21)を参照してく
ださい。
ステップ 4
「インターフェイス コンフィギュレーションの実行(すべてのモデル)」(P.6-23)に従って、インター
フェイス コンフィギュレーションを実行します。
VLAN インターフェイスの設定
この項では、VLAN インターフェイスを設定する方法について説明します。ASA 5505 のインター
フェイスの詳細については、「ASA 5505 のインターフェイス」(P.6-2)を参照してください。
詳細な手順
ステップ 1
VLAN インターフェイスを追加するには、次のコマンドを入力します。
hostname(config)# interface vlan number
number には、1 ~ 4090 を指定します。
たとえば、次のコマンドを入力します。
hostname(config)# interface vlan 100
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-17
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5505)
この VLAN インターフェイスとすべての関連コンフィギュレーションを削除するには、no interface
vlan コマンドを入力します。このインターフェイスには、インターフェイス名コンフィギュレーショ
ンも含まれており、名前は他のコマンドでも使用されているため、それらのコマンドも削除されます。
ステップ 2
(基本ライセンスのオプション)このインターフェイスに対して別の VLAN への接続開始を制限するこ
とにより、このインターフェイスを 3 つ目の VLAN として使用するには、次のコマンドを入力します。
hostname(config-if)# no forward interface vlan number
number には、この VLAN インターフェイスからトラフィックを開始できない VLAN ID を指定しま
す。
基本ライセンスでは、このコマンドを使用して制限した場合だけ、3 つ目の VLAN を設定できます。
たとえば、1 つの VLAN をインターネット アクセスの外部に、もう 1 つを内部ビジネス ネットワーク
内に、そして 3 つ目をホーム ネットワークにそれぞれ割り当てます。ホーム ネットワークはビジネス
ネットワークにアクセスする必要がないので、ホーム VLAN で no forward interface コマンドを使用
できます。ビジネス ネットワークはホーム ネットワークにアクセスできますが、その反対はできませ
ん。
nameif コマンドで 2 つの VLAN インターフェイスをすでに設定している場合、3 つ目のインターフェ
イスに対して nameif コマンドを使用する前に no forward interface コマンドを入力してください。適
応型セキュリティ アプライアンスでは、ASA 5505 適応型セキュリティ アプライアンスの基本ライセ
ンスで 3 つの VLAN インターフェイスがフル機能を持つことは許可されていません。
(注)
Security Plus ライセンスにアップグレードすれば、このコマンドを削除して、このインター
フェイスのフル機能を取得することができます。このコマンドを設定したままにすると、アッ
プグレード後もインターフェイスの制限はそのまま残ります。
次の作業
スイッチ ポートを設定します。「スイッチ ポートのアクセス ポートとしての設定とイネーブル化」
(P.6-18)および 「スイッチ ポートのトランク ポートとしての設定とイネーブル化」(P.6-21)を参照
してください。
スイッチ ポートのアクセス ポートとしての設定とイネーブル化
デフォルト(コンフィギュレーションなし)では、すべてのスイッチ ポートがシャットダウンされ、
VLAN 1 に割り当てられます。1 つの VLAN にスイッチ ポートを割り当てるには、アクセス ポートと
して設定します。複数の VLAN を伝送するトランク ポートを作成するには、「スイッチ ポートのトラ
ンク ポートとしての設定とイネーブル化」(P.6-21)を参照してください。工場出荷時のデフォルト コ
ンフィギュレーションが設定されている場合に、次の手順に従ってデフォルトのインターフェイス設定
を変更する必要があるかどうかを確認するには、「ASA 5505 のデフォルト コンフィギュレーション」
(P.2-2)を参照してください。
ASA 5505 のインターフェイスの詳細については、「ASA 5505 のインターフェイス」(P.6-2)を参照し
てください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-18
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5505)
注意
ASA 5505 適応型セキュリティ アプライアンスは、ネットワーク内のループ検出用のスパニング ツ
リー プロトコルをサポートしていません。したがって、適応型セキュリティ アプライアンスとのす
べての接続は、ネットワーク ループ内で終わらないようにする必要があります。
詳細な手順
ステップ 1
設定するスイッチ ポートを指定するには、次のコマンドを入力します。
hostname(config)# interface ethernet0/port
port には、0 ~ 7 を指定します。たとえば、次のコマンドを入力します。
hostname(config)# interface ethernet0/1
ステップ 2
VLAN にスイッチ ポートを割り当てるには、次のコマンドを入力します。
hostname(config-if)# switchport access vlan number
number には、VLAN ID を 1 ~ 4090 で指定します。スイッチ ポートに割り当てる VLAN インター
フェイスを設定するには、「VLAN インターフェイスの設定」(P.6-17)を参照してください。設定済
みの VLAN を確認するには、
(注)
ステップ 3
インターネット アクセス デバイスにレイヤ 2 冗長性が含まれている場合は、複数のスイッチ
ポートをプライマリ VLAN またはバックアップ VLAN に割り当てることができます。
(オプション)スイッチ ポートが他の保護されたスイッチ ポートと同じ VLAN 上で通信しないように
するには、次のコマンドを入力します。
hostname(config-if)# switchport protected
スイッチ ポート間で相互通信するのを防ぐのは、スイッチ ポート上のデバイスが主に他の VLAN から
アクセスされ、VLAN 内のアクセスを許可する必要がなく、感染やセキュリティ違反が発生した際に、
個々のデバイスを相互に孤立させる場合です。たとえば、3 つの Web サーバをホストする DMZ の場
合、switchport protected コマンドを各スイッチ ポートに適用すると、Web サーバを相互に孤立させ
ることができます。内部および外部ネットワークはどちらも 3 つの Web サーバのすべてと通信でき、
またその逆も可能ですが、Web サーバ同士は通信できません。
ステップ 4
(オプション)速度を設定するには、次のコマンドを入力します。
hostname(config-if)# speed {auto | 10 | 100}
auto 設定がデフォルトです。PoE ポート Ethernet 0/6 または 0/7 で速度を auto 以外に設定すると、
IEEE 802.3af をサポートしていない Cisco IP Phone およびシスコの無線アクセス ポイントは検出され
ず、電源も供給されません。
ステップ 5
(オプション)二重通信を設定するには、次のコマンドを入力します。
hostname(config-if)# duplex {auto | full | half}
auto 設定がデフォルトです。PoE ポート Ethernet 0/6 または 0/7 で二重通信を auto 以外に設定すると、
IEEE 802.3af をサポートしていない Cisco IP Phone およびシスコの無線アクセス ポイントは検出され
ず、電源も供給されません。
ステップ 6
スイッチ ポートをイネーブルにするには、次のコマンドを入力します。
hostname(config-if)# no shutdown
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-19
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5505)
スイッチ ポートをディセーブルにするには、shutdown コマンドを入力します。
例
次の例では 5 つの VLAN インターフェイスを設定しています。これには、failover lan コマンドを使用
して設定されるフェールオーバー インターフェイスも含まれます。
hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface vlan 200
nameif inside
security-level 100
ip address 10.2.1.1 255.255.255.0
no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface vlan 300
nameif dmz
security-level 50
ip address 10.3.1.1 255.255.255.0
no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface vlan 400
nameif backup-isp
security-level 50
ip address 10.1.2.1 255.255.255.0
no shutdown
hostname(config-if)# failover lan faillink vlan500
hostname(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2
255.255.255.0
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 300
hostname(config-if)# no shutdown
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 400
hostname(config-if)# no shutdown
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 500
hostname(config-if)# no shutdown
次の作業
スイッチ ポートをトランク ポートとして設定する場合は、「スイッチ ポートのトランク ポートとして
の設定とイネーブル化」(P.6-21)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-20
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5505)
インターフェイス コンフィギュレーションを実行するには、
「インターフェイス コンフィギュレーショ
ンの実行(すべてのモデル)」(P.6-23)を参照してください。
スイッチ ポートのトランク ポートとしての設定とイネーブル化
この手順では、802.1Q タグ付けを使用して複数の VLAN を伝送するトランク ポートの作成方法につ
いて説明します。トランク モードは、Security Plus ライセンスに限り使用できます。
インターフェイスが 1 つの VLAN にだけ割り当てられるアクセス ポートを作成するには、「スイッチ
ポートのアクセス ポートとしての設定とイネーブル化」(P.6-18)を参照してください。
ASA 5505 のインターフェイスの詳細については、「ASA 5505 のインターフェイス」(P.6-2)を参照し
てください。
詳細な手順
ステップ 1
設定するスイッチ ポートを指定するには、次のコマンドを入力します。
hostname(config)# interface ethernet0/port
port には、0 ~ 7 を指定します。たとえば、次のコマンドを入力します。
hostname(config)# interface ethernet0/1
ステップ 2
複数の VLAN をこのトランクに割り当てるには、次のコマンドを 1 つ以上入力します。
• ネイティブ VLAN を割り当てるには、次のコマンドを入力します。
hostname(config-if)# switchport trunk native vlan vlan_id
vlan_id には、1 つの VLAN ID を 1 ~ 4090 で指定します。
ネイティブ VLAN のパケットは、トランク経由で送信される場合には変更されません。たとえば、
ポートに VLAN 2、3、4 が割り当てられていて、VLAN 2 が ネイティブ VLAN の場合、そのポー
トから出て行く VLAN 2 のパケットは、802.1Q ヘッダーが付いている場合は変更されません。こ
のポートに入ってくるフレームは、802.1Q ヘッダーが付いていない場合は VLAN 2 に割り当てら
れます。
各ポートに割り当てることができるネイティブ VLAN は 1 つだけですが、すべてのポートに同じ
ネイティブ VLAN を割り当てることも、異なるネイティブ VLAN を割り当てることもできます。
• VLAN を割り当てるには、次のコマンドを入力します。
hostname(config-if)# switchport trunk allowed vlan vlan_range
vlan_range(1 ~ 4090 の VLAN)は、次のいずれかの方法で指定できます。
1 つの数字(n)
範囲(n-x)
数字と範囲は、次のようにカンマで区切ってください。
5,7-10,13,45-100
カンマの代わりにスペースを入力することもできますが、このコマンドはカンマ付きでコンフィ
ギュレーションに保存されます。
このコマンドではネイティブ VLAN を指定することもできますが、必須ではありません。ネイ
ティブ VLAN は、このコマンドで指定されているかどうかにかかわらず割り当てられます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-21
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの開始(ASA 5505)
ネイティブまたは非ネイティブにかかわらず、少なくとも 1 つの VLAN が割り当てられないと、この
スイッチ ポートはトラフィックを通過させることができません。
ステップ 3
このスイッチ ポートをトランク ポートにするには、次のコマンドを入力します。
hostname(config-if)# switchport mode trunk
このポートをアクセス モードに復元するには、switchport mode access コマンドを入力します。
ステップ 4
(オプション)スイッチ ポートが他の保護されたスイッチ ポートと同じ VLAN 上で通信しないように
するには、次のコマンドを入力します。
hostname(config-if)# switchport protected
スイッチ ポート間で相互通信するのを防ぐのは、スイッチ ポート上のデバイスが主に他の VLAN から
アクセスされ、VLAN 内のアクセスを許可する必要がなく、感染やセキュリティ違反が発生した際に、
個々のデバイスを相互に孤立させる場合です。たとえば、3 つの Web サーバをホストする DMZ の場
合、switchport protected コマンドを各スイッチ ポートに適用すると、Web サーバを相互に孤立させ
ることができます。内部および外部ネットワークはどちらも 3 つの Web サーバのすべてと通信でき、
またその逆も可能ですが、Web サーバ同士は通信できません。
ステップ 5
(オプション)速度を設定するには、次のコマンドを入力します。
hostname(config-if)# speed {auto | 10 | 100}
auto 設定がデフォルトです。
ステップ 6
(オプション)二重通信を設定するには、次のコマンドを入力します。
hostname(config-if)# duplex {auto | full | half}
auto 設定がデフォルトです。
ステップ 7
スイッチ ポートをイネーブルにするには、次のコマンドを入力します。
hostname(config-if)# no shutdown
スイッチ ポートをディセーブルにするには、shutdown コマンドを入力します。
例
次の例では 7 つの VLAN インターフェイスを設定しています。これには、failover lan コマンドを使用
して設定されるフェールオーバー インターフェイスも含まれます。VLAN 200、201、202 は Ethernet
0/1 でトランクされます。
hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface vlan 200
nameif inside
security-level 100
ip address 10.2.1.1 255.255.255.0
no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface vlan 201
nameif dept1
security-level 90
ip address 10.2.2.1 255.255.255.0
no shutdown
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-22
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの実行(すべてのモデル)
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface vlan 202
nameif dept2
security-level 90
ip address 10.2.3.1 255.255.255.0
no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface vlan 300
nameif dmz
security-level 50
ip address 10.3.1.1 255.255.255.0
no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface vlan 400
nameif backup-isp
security-level 50
ip address 10.1.2.1 255.255.255.0
no shutdown
hostname(config-if)# failover lan faillink vlan500
hostname(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2
255.255.255.0
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface ethernet 0/1
switchport mode trunk
switchport trunk allowed vlan 200-202
switchport trunk native vlan 5
no shutdown
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 300
hostname(config-if)# no shutdown
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 400
hostname(config-if)# no shutdown
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 500
hostname(config-if)# no shutdown
次の作業
インターフェイス コンフィギュレーションを実行するには、
「インターフェイス コンフィギュレーショ
ンの実行(すべてのモデル)」(P.6-23)を参照してください。
インターフェイス コンフィギュレーションの実行(すべての
モデル)
この項では、すべてのモデルのインターフェイス コンフィギュレーションを実行するためのタスクに
ついて説明します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-23
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの実行(すべてのモデル)
(注)
マルチコンテキスト モードでは、この項のタスクをコンテキスト実行スペースで実行してください。
設定するコンテキストに切り替えるには、changeto context name コマンドを入力します。
この項は、次の内容で構成されています。
• 「インターフェイス コンフィギュレーション モードの開始」(P.6-24)
• 「一般的なインターフェイス パラメータの設定」(P.6-25)
• 「MAC アドレスの設定」(P.6-28)
• 「IPv6 アドレッシングの設定」(P.6-29)
インターフェイス コンフィギュレーションを実行するためのタスク フロー
ステップ 1
「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」
(P.6-9)または 「インターフェ
イス コンフィギュレーションの開始(ASA 5505 )」(P.6-17)の手順を実行します。
ステップ 2
(マルチコンテキスト モード)設定するコンテキストに切り替えるには、changeto context name コマ
ンドを入力します。
ステップ 3
インターフェイス コンフィギュレーション モードに入ります。「インターフェイス コンフィギュレー
ション モードの開始」(P.6-24)を参照してください。
ステップ 4
インターフェイス名、セキュリティ レベル、IPv4 アドレスなどの一般的なインターフェイス パラメー
タを設定します。「一般的なインターフェイス パラメータの設定」(P.6-25)を参照してください。
トランスペアレント モードの場合、管理専用インターフェイス以外では、インターフェイスごとに IP
アドレッシングを設定しないでください(「管理インターフェイスに関する情報」(P.6-26)を参照)。
ただし、この項では、他のパラメータを設定する必要がありません。トランスペアレント モードのグ
ローバル管理アドレスの設定については、「IPv4 アドレスの設定」(P.8-9)を参照してください。
ステップ 5
(オプション)MAC アドレスを設定します。「MAC アドレスの設定」(P.6-28)を参照してください。
ステップ 6
(オプション)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」(P.6-29)を参照して
ください。
トランスペアレント モードの場合、管理専用インターフェイス以外では、インターフェイスごとに IP
アドレッシングを設定しないでください(「管理インターフェイスに関する情報」(P.6-26)を参照)。
トランスペアレント モードのグローバル管理アドレスの設定については、「IPv6 アドレスの設定」
(P.8-9)を参照してください。
インターフェイス コンフィギュレーション モードの開始
この項の手順は、インターフェイス コンフィギュレーション モードで実行します。
前提条件
マルチコンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。設定するコン
テキストに切り替えるには、changeto context name コマンドを入力します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-24
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの実行(すべてのモデル)
詳細な手順
まだインターフェイス コンフィギュレーション モードに入っていない場合は、interface コマンドを使
用してインターフェイス コンフィギュレーション モードに入ります。
• ASA 5510 以降の場合:
hostname(config)# interface {{redundant number| physical_interface}[.subinterface] |
mapped_name}
hostname(config-if)#
redundant number 引数には、冗長インターフェイス ID(redundant 1 など)を指定します。
「ジャンボ フレーム サポートのイネーブル化(ASA 5580)」
物理インターフェイス ID については、
の説明を参照してください。
subinterface ID は、物理インターフェイス ID または冗長インターフェイス ID の後ろに、ピリオ
ド(.)で区切って付加します。
マルチコンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた
場合、その名前を mapped_name に入力します。
• ASA 5505 の場合:
hostname(config)# interface vlan number
hostname(config-if)#
一般的なインターフェイス パラメータの設定
この手順では、名前、セキュリティ レベル、IPv4 アドレス、およびその他のオプションを設定する方
法について説明します。
ASA 5510 以降では、次のインターフェイス タイプのインターフェイス パラメータを設定する必要が
あります。
• 物理インターフェイス
• VLAN サブインターフェイス
• 冗長インターフェイス
ASA 5505 では、次のインターフェイス タイプのインターフェイス パラメータを設定する必要があり
ます。
• VLAN インターフェイス
ガイドラインと制限事項
• ASA 5550 適応型セキュリティ アプライアンスでは、最大のスループットを得るために、2 つのイ
ンターフェイス スロット間でトラフィックのバランスを取るようにします。たとえば、内部イン
ターフェイスをスロット 1 に、外部インターフェイスをスロット 0 に割り当てます。
• セキュリティ レベルについては、「セキュリティ レベル」(P.6-5)を参照してください。
• フェールオーバーを使用している場合は、フェールオーバー通信およびステートフル フェール
オーバー通信に予約されているインターフェイスには、この方法で名前を付けないでください。
「Active/Standby フェールオー
フェールオーバー リンクおよびステート リンクの設定については、
バー設定値の設定」(P.33-1)または 「Active/Active フェールオーバー設定値の設定」(P.34-1)
を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-25
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの実行(すべてのモデル)
• ルーテッド ファイアウォール モードでは、すべてのインターフェイスに対する IP アドレスを設定
します。
• 透過ファイアウォール モードでは、インターフェイスごとに IP アドレスを設定するのではなく、
適応型セキュリティ アプライアンス全体またはコンテキスト全体に IP アドレスを設定します。ト
ラフィックを通過させない Management 0/0 または 0/1 の管理専用インターフェイスの場合は例外
となります。透過ファイアウォール モードの適応型セキュリティ アプライアンス全体またはコン
テキスト全体の管理 IP アドレスを設定するには、「透過ファイアウォールの管理 IP アドレスの設
定」(P.8-7)を参照してください。Management 0/0 または 0/1 のインターフェイスまたはサブイ
ンターフェイスの IP アドレスを設定するには、この手順を使用します。
制限事項
マルチコンテキスト モードまたは透過ファイアウォール モードでは、PPP over Ethernet(PPPoE)は
サポートされていません。
管理インターフェイスに関する情報
ASA 5510 以降の適応型セキュリティ アプライアンスには、使用中のモデルに応じて、Management
0/0 または Management 0/1 と呼ばれる専用の管理インターフェイスが含まれており、このインター
フェイスによって、適応型セキュリティ アプライアンスへのトラフィックをサポートします。ただし、
任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 ま
たは 0/1 の管理専用モードをディセーブルにして、他のインターフェイスと同様にトラフィックを通過
させることもできます。
透過ファイアウォール モードでは、2 つのインターフェイスだけがトラフィックを通過させることがで
きます。ただし、ASA 5510 以降の適応型セキュリティ アプライアンスでは、Management 0/0 または
0/1 のインターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用
の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にす
る必要があります。
前提条件
• 「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」(P.6-9)または 「インター
フェイス コンフィギュレーションの開始(ASA 5505)」(P.6-17)の手順を実行します。
• マルチコンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システム
コンフィギュレーションからコンテキスト コンフィギュレーションに切り替えるには、changeto
context name コマンドを入力します。
• 「インターフェイス コンフィギュレーション モードの開始」(P.6-24)に従って、インターフェイ
ス コンフィギュレーション モードに入ります。
詳細な手順
ステップ 1
インターフェイスに名前を付けるには、次のコマンドを入力します。
hostname(config-if)# nameif name
name は最大 48 文字のテキスト文字列です。大文字と小文字は区別されません。新しい値を指定して
このコマンドを再入力すると名前を変更することができます。no 形式は入力しないでください。この
コマンドを入力すると、この名前を参照しているコマンドがすべて削除されます。
ステップ 2
セキュリティ レベルを設定するには、次のコマンドを入力します。
hostname(config-if)# security-level number
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-26
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの実行(すべてのモデル)
number には、0(最下位)~ 100(最上位)の整数を指定します。
ステップ 3
IP アドレスを設定するには、次のいずれかのコマンドを入力します。
(注)
フェールオーバーで使用する場合、IP アドレスとスタンバイ アドレスを手動で設定する必要が
あります。Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュ
レーション プロトコル)および PPPoE はサポートされません。
透過ファイアウォール モードでは、インターフェイスごとに IP アドレスを設定するのではな
く、適応型セキュリティ アプライアンス全体またはコンテキスト全体に IP アドレスを設定し
ます。トラフィックを通過させない Management 0/0 または 0/1 の管理専用インターフェイス
の場合は例外となります。
• IP アドレスを手動で設定するには、次のコマンドを入力します。
hostname(config-if)# ip address ip_address [mask] [standby ip_address]
ip_address 引数および mask 引数には、インターフェイスの IP アドレスとサブネット マスクを設
定します。
standby ip_address 引数は、フェールオーバーで使用します。詳細については、「Active/Standby
フェールオーバー設定値の設定」(P.33-1)または 「Active/Active フェールオーバー設定値の設
定」(P.34-1)を参照してください。
• DHCP サーバから IP アドレスを取得するには、次のコマンドを入力します。
hostname(config-if)# ip address dhcp [setroute]
setroute キーワードを指定すると、適応型セキュリティ アプライアンスが DHCP サーバの提供す
るデフォルト ルートを使用できるようになります。
このコマンドを再入力すると、DHCP リースがリセットされて新しいリースが要求されます。
ip address dhcp コマンドを入力する前に no shutdown コマンドを使用してインターフェイスをイ
ネーブルにしていない場合は、一部の DHCP 要求が送信されない場合があります。
• PPPoE サーバからの IP アドレスの取得については、第 69 章「PPPoE クライアントの設定」を参
照してください。
PPPoE は、マルチコンテキスト モードではサポートされていません。
ステップ 4
(オプション)インターフェイスを管理専用モードに設定してトラフィックが通過しないようにするに
は、次のコマンドを入力します。
hostname(config-if)# management-only
詳細については、「管理インターフェイスに関する情報」(P.6-26)を参照してください。
次の作業
• (オプション)MAC アドレスを設定します。「MAC アドレスの設定」(P.6-28)を参照してくださ
い。
• (オプション)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」(P.6-29)を参照
してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-27
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの実行(すべてのモデル)
MAC アドレスの設定
この項では、インターフェイスの MAC アドレスを設定する方法について説明します。
MAC アドレスに関する情報
デフォルトでは、物理インターフェイスは焼き付け済み MAC アドレスを使用し、物理インターフェイ
スのすべてのサブインターフェイスは同じ焼き付け済み MAC アドレスを使用します。冗長インター
フェイスは、追加された最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュ
レーション内のメンバー インターフェイスの順序を変更すると、使用する MAC アドレスは、変更後
の順序で先頭になるインターフェイスの MAC アドレスと一致するように変更されます。このコマンド
を使用して冗長インターフェイスに MAC アドレスを割り当てると、メンバー インターフェイスの
MAC アドレスに関係なく、割り当てた MAC アドレスが使用されます。
マルチコンテキスト モードでは、コンテキスト間でインターフェイスを共有している場合、固有の
MAC アドレスをそれぞれのコンテキストのインターフェイスに割り当てることができます。この機能
を使用すれば、適応型セキュリティ アプライアンスで、該当するコンテキストへのパケットの分類が
容易になります。固有の MAC アドレスが割り当てられていない共有インターフェイスも使用できます
が、いくつか制限があります。詳細については、「セキュリティ アプライアンスによるパケットの分類
方法」(P.5-3)を参照してください。コンテキストの共有インターフェイスには、手動で各 MAC アド
レスを割り当てることも、自動生成することもできます。MAC アドレスの自動生成については、「コ
ンテキスト インターフェイスへの MAC アドレスの自動割り当て」(P.5-21)を参照してください。
MAC アドレスを自動生成する場合、この手順を使用して生成されたアドレスを上書きできます。
シングルコンテキスト モードの場合、またはマルチコンテキスト モードでインターフェイスを共有し
ていない場合、固有の MAC アドレスをサブインターフェイスに割り当てる必要が生じることもありま
す。たとえば、サービス プロバイダーが MAC アドレスに基づいてアクセス コントロールを行ってい
る場合などです。
前提条件
「インターフェイス コンフィギュレーション モードの開始」(P.6-24)に従って、インターフェイス コ
ンフィギュレーション モードに入ります。
詳細な手順
プライベート MAC アドレスをこのインターフェイスに割り当てるには、次のコマンドを入力します。
hostname(config-if)# mac-address mac_address [standby mac_address]
mac_address は、H.H.H 形式で指定します。H は 16 ビットの 16 進数です。たとえば、MAC アドレス
00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。
フェールオーバーで使用する場合は、スタンバイ MAC アドレスを設定します。アクティブ装置が
フェールオーバーし、スタンバイ装置がアクティブになると、新たなアクティブ装置はアクティブ
MAC アドレスの使用を開始してネットワークの中断を最小限に抑え、元のアクティブ装置はスタンバ
イ アドレスを使用します。
次の作業
(オプション)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」(P.6-29)を参照して
ください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-28
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの実行(すべてのモデル)
IPv6 アドレッシングの設定
この項では、IPv6 アドレッシングを設定する方法について説明します。IPv6 の詳細については、
「IPv6 のサポートに関する情報」(P.18-9)および「IPv6 アドレス」(P.C-5)を参照してください。
トランスペアレント モードの場合、この項を参照して Management 0/0 または 0/1 のインターフェイス
を設定します。トランスペアレント モードのグローバル IPv6 管理アドレスの設定については、「IPv6
アドレスの設定」(P.8-9)を参照してください。
IPv6 アドレッシングに関する情報
インターフェイスの IPv6 アドレスを設定すると、一度に 1 つまたは複数の IPv6 アドレス(IPv6 リン
クローカル アドレス、グローバル アドレスなど)をインターフェイスに割り当てることができます。
ただし、少なくとも、リンクローカル アドレスを設定する必要があります。
IPv6 がイネーブルな各インターフェイスには、リンクローカル アドレスを少なくとも 1 つ設定する必
要があります。グローバル アドレスを設定すると、リンクローカル アドレスがインターフェイスに自
動的に設定されるため、リンクローカル アドレスを個別に設定する必要はありません。これらのリン
クローカル アドレスは、同じ物理リンク上の他のホストと通信するためだけに使用できます。
(注)
リンクローカル アドレスの設定だけを行う場合は、『Cisco ASA 5500 Series Command Reference 』の
ipv6 enable コマンド(自動設定)または ipv6 address link-local コマンド(手動設定)を参照してく
ださい。
イーサネット ネットワークで IPv6 を使用する場合は、イーサネット MAC アドレスを使用して、ホス
トの 64 ビット インターフェイス ID を生成できます。これは、Extended Universal Identifier (EUI)
-64 アドレスと呼ばれています。MAC アドレスで使用するビット数は 48 ビットであるため、必要な
64 ビットを埋めるために追加ビットを挿入する必要があります。最後の 64 ビットは、インターフェイ
ス ID 用に使用されます。たとえば、FE80::/10 は、16 進形式のリンクローカルなユニキャスト IPv6
アドレス タイプです。
重複アドレス検出に関する情報
ステートレスな自動設定プロセス中、新しいユニキャスト IPv6 アドレスは Duplicate Address
Detection(DAD; 重複アドレス検出)によって固有であることが検証されてから、インターフェイス
に割り当てられます(重複アドレス検出の実行中、新しいアドレスは仮の状態となります)。重複アド
レス検出は、最初に新しいリンクローカル アドレスに対して行われます。リンクローカル アドレスが
固有であることが検証されたら、次にインターフェイス上のその他すべての IPv6 ユニキャスト アドレ
スに対して重複アドレス検出が行われます。
重複アドレス検出は、管理上ダウンしているインターフェイスでは一時停止しています。インターフェ
イスが管理上ダウンしている間、そのインターフェイスに割り当てられているユニキャスト IPv6 アド
レスは保留状態に設定されます。管理上アップ状態に復帰したインターフェイスでは、重複アドレス検
出がインターフェイス上のすべてのユニキャスト IPv6 アドレスに対して再開されます。
重複アドレスが検出されると、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用対象
外となり、次のエラー メッセージが生成されます。
%PIX|ASA-4-325002: Duplicate address ipv6_address/MAC_address on interface
重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パ
ケットの処理はディセーブルになります。重複アドレスがグローバル アドレスであれば、そのアドレ
スは使用されません。ただし、その重複アドレスに関連付けられたすべての設定コマンドは、アドレス
の状態が DUPLICATE に設定されている間、設定されたままになります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-29
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの実行(すべてのモデル)
インターフェイスのリンクローカル アドレスに変更があると、新しいリンクローカル アドレスに対し
て重複アドレス検出が行われ、そのインターフェイスに関連付けられたその他すべての IPv6 アドレス
が再生成されます(重複アドレス検出は、新しいリンクローカル アドレスに対してだけ行われます)。
適応型セキュリティ アプライアンスは、ネイバー送信要求メッセージを使用して、重複アドレス検出
を実行します。デフォルトでは、インターフェイスが重複アドレス検出を行う回数は 1 回です。
Modified EUI-64 インターフェイス ID に関する情報
RFC 3513「Internet Protocol Version 6 (IPv6) Addressing Architecture」(インターネット プロトコル
バージョン 6 アドレッシングアーキテクチャ)では、バイナリ値 000 で始まるものを除き、すべての
ユニキャスト IPv6 アドレスのインターフェイス識別子部分は長さが 64 ビットで、Modified EUI-64 形
式で組み立てることが要求されています。適応型セキュリティ アプライアンスでは、ローカル リンク
に接続されたホストにこの要件を適用できます。
このコマンドがインターフェイスでイネーブルになると、そのインターフェイスで受信した IPv6 パ
ケットの送信元アドレスが送信元 MAC アドレスに対して検証され、インターフェイス識別子が
Modified EUI-64 形式を使用していることが確認されます。IPv6 パケットがインターフェイス識別子
に Modified EUI-64 形式を使用していない場合、そのパケットはドロップされ、次のシステム ログ
メッセージが生成されます。
%PIX|ASA-3-325003: EUI-64 source address check failed.
アドレス形式の検証は、フローが作成された場合にだけ行われます。既存のフローからのパケットは
チェックされません。加えて、アドレス検証はローカル リンク上のホストに対してだけ実行できます。
ルータの背後にあるホストから受信したパケットは、アドレス形式検証で受け入れられず、ドロップさ
れます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレ
スではないためです。
前提条件
「インターフェイス コンフィギュレーション モードの開始」(P.6-24)に従って、インターフェイス コ
ンフィギュレーション モードに入ります。
制限事項
適応型セキュリティ アプライアンスは、IPv6 エニーキャスト アドレスはサポートしません。
詳細な手順
コマンド
目的
ステップ 1 次のいずれかを実行します。
ipv6 address autoconfig
例:
hostname(config-if)# ipv6 address
autoconfig
インターフェイスでステートレスな自動設定をイネーブルにし
ます。インターフェイスでステートレスな自動設定をイネーブ
ルにすると、ルータ アドバタイズメント メッセージで受信した
プレフィックスに基づいて IPv6 アドレスが設定されます。ス
テートレスな自動設定がイネーブルになっている場合、イン
ターフェイスのリンクローカル アドレスは、Modified EUI-64
インターフェイス ID に基づいて自動的に生成されます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-30
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイス コンフィギュレーションの実行(すべてのモデル)
コマンド
目的
ipv6 address ipv6-prefix/prefix-length
[eui-64]
インターフェイスにグローバル アドレスを割り当てます。グ
ローバル アドレスを割り当てると、インターフェイスのリンク
ローカル アドレスが自動的に作成されます。アドレスの下位 64
ビットに Modified EUI-64 インターフェイス ID を使用する場合
は、オプションの eui-64 キーワードを使用します。
例:
hostname(config-if)# ipv6 address
2001:0DB8::BA98:0:3210/48
IPv6 アドレッシングの詳細については、「IPv6 アドレス」
(P.C-5)を参照してください。
ステップ 2 (オプション)
ipv6 nd suppress-ra
例:
hostname(config-if)# ipv6 nd suppress-ra
ステップ 3 (オプション)
ipv6 nd dad attempts value
例:
hostname(config-if)# ipv6 nd dad attempts
3
ステップ 4 (オプション)
インターフェイスでルータ アドバタイズメント メッセージを抑
止します。デフォルトでは、ルータ アドバタイズメント メッ
セージは、ルータ送信要求メッセージへの応答として自動的に
送信されます。適応型セキュリティ アプライアンスで IPv6 プレ
フィックスを提供する必要がないインターフェイス(外部イン
ターフェイスなど)では、これらのメッセージをディセーブル
にできます。
重複アドレス検出の試行回数を変更します。value 引数には、0
~ 600 の任意の値を指定できます。value 引数を 0 に設定する
と、インターフェイスの重複アドレス検出がディセーブルにな
ります。
デフォルトでは、インターフェイスが重複アドレス検出を行う
回数は 1 回です。詳細については、「重複アドレス検出に関する
情報」(P.6-29)を参照してください。
ネイバー送信要求メッセージの送信間隔を変更します。ipv6 nd
dad attempts コマンドを使用して重複アドレス検出試行を 2 回
ipv6 nd ns-interval value
例:
hostname(config-if)# ipv6 nd ns-interval
2000
以上送信するようにインターフェイスを設定する場合、このコ
マンドでネイバー送信要求メッセージの送信間隔を設定します。
このメッセージは、デフォルトでは 1000 ミリ秒間に 1 回送信さ
れます。value 引数には、1000 ~ 3600000 ミリ秒の値を指定で
きます。
(注)
ステップ 5 (オプション)
ipv6 enforce-eui64 if_name
例:
hostname(config)# ipv6 enforce-eui64
inside
この値を変更すると、重複アドレス検出で使用されるも
のだけでなく、インターフェイスで送信されるすべての
ネイバー送信要求メッセージで変更されます。
ローカル リンクの IPv6 アドレスに Modified EUI-64 形式のイン
ターフェイス識別子の使用を適用します。
if_name 引数には、nameif コマンドで指定したインターフェイ
スの名前を指定します。このインターフェイスに対してアドレ
ス形式を適用できます。
詳細については、
「Modified EUI-64 インターフェイス ID に関す
る情報」(P.6-30)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-31
第6章
インターフェイスの設定
同じセキュリティ レベルの通信の許可
同じセキュリティ レベルの通信の許可
デフォルトでは、同じセキュリティ レベルのインターフェイスは相互に通信することができません。
また、パケットは同じインターフェイスを出入りすることができません。この項では、複数のインター
フェイスが同じセキュリティ レベルの場合にインターフェイス間通信をイネーブルにする方法と、イ
ンターフェイス内通信をイネーブルにする方法について説明します。
インターフェイス間通信に関する情報
同じセキュリティ レベルのインターフェイスで相互通信を許可する利点としては、次のものがあります。
• 101 より多くの通信インターフェイスが設定できます。
各インターフェイスで異なるセキュリティ レベルを使用したときに、同一のセキュリティ レベル
にインターフェイスを割り当てないと、各レベル(0 ~ 100)に 1 つのインターフェイスしか設定
できません。
• アクセスリストがなくても同じセキュリティ レベルのインターフェイスすべての間で自由にトラ
フィックが流れるようにできます。
同じセキュリティ レベルを持つインターフェイス間の通信をイネーブルにした場合でも、異なるセ
キュリティ レベルのインターフェイスも通常どおりに設定できます。
(注)
NAT 制御をイネーブルにすると、同じセキュリティ レベルのインターフェイス間で NAT を設定する
必要がなくなります。NAT および同一セキュリティ レベルのインターフェイスの詳細については、
「NAT および同じセキュリティ レベルのインターフェイス」(P.26-9)を参照してください。
インターフェイス内通信に関する情報
インターフェイス内通信は、インターフェイスに入ってくる VPN トラフィックに対して使用できます
が、その場合は同じインターフェイスのルートから外されます。この場合、VPN トラフィックが暗号
化されない可能性があります。または、VPN トラフィックが別の VPN 接続に対して再暗号化される可
能性があります。たとえば、セキュリティ アプライアンスがハブでリモート VPN ネットワークがス
ポークのハブアンドスポーク VPN ネットワークを使用している場合、スポーク間で通信を行うために
は、他のスポークに対するトラフィックがセキュリティ アプライアンスを経由する必要があります。
(注)
この機能で許可されたすべてのトラフィックは、引き続きファイアウォール規則に従います。非対称
ルーティングの状態にならないように注意してください。この状態になると、リターン トラフィック
が適応型セキュリティ アプライアンスを経由しなくなる可能性があります。
制限事項
この機能は、ルーテッド ファイアウォール モードに限り使用できます。
詳細な手順
相互通信を可能にするために同じセキュリティ レベルのインターフェイスをイネーブルにするには、
次のコマンドを入力します。
hostname(config)# same-security-traffic permit inter-interface
同じインターフェイスに接続されたホスト間の通信をイネーブルにするには、次のコマンドを入力しま
す。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-32
OL-18970-01-J
第6章
インターフェイスの設定
ジャンボ フレーム サポートのイネーブル化(ASA 5580)
hostname(config)# same-security-traffic permit intra-interface
ジャンボ フレーム サポートのイネーブル化(ASA 5580)
ジャンボ フレームとは、標準の最大サイズである 1518 バイト(レイヤ 2 ヘッダーおよび Frame Check
Sequence(FCS; フレーム チェック シーケンス)を含む)を超える、最大 9216 バイトのイーサネット
パケットです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのイ
ンターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに
割り当てるメモリを増やすと、他の機能(アクセスリストなど)の最大使用量が制限される場合があり
ます。
(注)
他のプラットフォーム モデルではジャンボ フレームをサポートしていません。
前提条件
マルチコンテキスト モードでは、システム実行スペースでこのオプションを設定します。
詳細な手順
ASA 5580 適応型セキュリティ アプライアンスに対してジャンボ フレーム サポートをイネーブルにす
るには、次のコマンドを入力します。
hostname(config)# jumbo-frame reservation
ジャンボ フレームをディセーブルにするには、このコマンドの no 形式を使用します。
(注)
この設定の変更を行うには、セキュリティ アプライアンスをリブートする必要があります。
ジャンボ フレームを送信する必要があるインターフェイスごとに Maximum Transmission Unit(MTU;
最大伝送ユニット)を必ず設定してください。MTU は、mtu コマンドを使用して、デフォルト値の
1500 よりも大きい値(たとえば、9000)に設定します。「MAC アドレスの設定」(P.6-28)を参照し
てください。マルチコンテキスト モードで、各コンテキスト内の MTU を設定します。
例
次の例では、ジャンボ フレーム予約のイネーブル化、コンフィギュレーションの保存、および適応型
セキュリティ アプライアンスのリロードを行います。
hostname(config)# jumbo-frame reservation
WARNING: this command will take effect after the running-config is saved
and the system has been rebooted.Command accepted.
hostnamehostname(config)# write memory
Building configuration...
Cryptochecksum: 718e3706 4edb11ea 69af58d0 0a6b7cb5
70291 bytes copied in 3.710 secs (23430 bytes/sec)
[OK]
hostname(config)# reload
Proceed with reload?[confirm] Y
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-33
第6章
インターフェイスの設定
インターフェイスの監視
インターフェイスの監視
インターフェイスを監視するには、次のいずれかのコマンドを入力します。
コマンド
目的
show interface
インターフェイスの統計情報を表示します。
show interface ip brief
インターフェイスの IP アドレスとステータスを表示します。
インターフェイスの設定例
次の例では、シングルモードで物理インターフェイスのパラメータを設定します。
hostname(config)# interface gigabitethernet 0/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
次の例では、シングルモードでサブインターフェイスのパラメータを設定します。
hostname(config)# interface gigabitethernet 0/1.1
hostname(config-subif)# vlan 101
hostname(config-subif)# nameif dmz1
hostname(config-subif)# security-level 50
hostname(config-subif)# ip address 10.1.2.1 255.255.255.0
hostname(config-subif)# mac-address 000C.F142.4CDE standby 020C.F142.4CDE
hostname(config-subif)# no shutdown
次の例では、システム コンフィギュレーションに対してマルチコンテキスト モードでインターフェイ
ス パラメータを設定し、gigabitethernet 0/1.1 サブインターフェイスを contextA に割り当てます。
hostname(config)# interface gigabitethernet 0/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# no shutdown
hostname(config-if)# interface gigabitethernet 0/1.1
hostname(config-subif)# vlan 101
hostname(config-subif)# no shutdown
hostname(config-subif)# context contextA
hostname(config-ctx)# ...
hostname(config-ctx)# allocate-interface gigabitethernet 0/1.1
次の例では、コンテキスト コンフィギュレーションに対してマルチコンテキスト モードでパラメータ
を設定します。
hostname/contextA(config)# interface gigabitethernet 0/1.1
hostname/contextA(config-if)# nameif inside
hostname/contextA(config-if)# security-level 100
hostname/contextA(config-if)# ip address 10.1.2.1 255.255.255.0
hostname/contextA(config-if)# mac-address 030C.F142.4CDE standby 040C.F142.4CDE
hostname/contextA(config-if)# no shutdown
次の例では、基本ライセンスの 3 つの VLAN インターフェイスを設定しています。3 つ目の home イ
ンターフェイスは、トラフィックを business インターフェイスに転送できません。
hostname(config)# interface vlan 100
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-34
OL-18970-01-J
第6章
インターフェイスの設定
インターフェイスの機能履歴
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
nameif outside
security-level 0
ip address dhcp
no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface vlan 200
nameif business
security-level 100
ip address 10.1.1.1 255.255.255.0
no shutdown
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface vlan 300
no forward interface vlan 200
nameif home
security-level 50
ip address 10.2.1.1 255.255.255.0
no shutdown
インターフェイスの機能履歴
表 6-1 に、この機能のリリース履歴の一覧を示します。
表 6-1
インターフェイスの機能履歴
機能名
リリース
機能情報
VLAN 数の増加
7.0(5)
次の制限値が変更されました。
• ASA 5510 基本ライセンスの VLAN 数が 0 から 10 に
増えました。
• ASA 5510 Security Plus ライセンスの VLAN 数が 10
から 25 に増えました。
• ASA 5520 の VLAN 数が 25 から 100 に増えました。
• ASA 5540 の VLAN 数が 100 から 200 に増えました。
VLAN 数の増加
7.2(2)
ASA 5505 適応型セキュリティ アプライアンスの Security
Plus ライセンスに対する VLAN の最大数が 5(3 つはフル
機能用、1 つはフェールオーバー用で、バックアップ イン
ターフェイス用は 1 つに制限されています)から 20(フル
機能のインターフェイス)に増えました。さらに、トラン
ク ポート数が 1 から 8 に増えました。フル機能のインター
フェイスの数が 20 になり、バックアップ ISP インター
フェイスを停止するために backup interface コマンドを使
用する必要がなくなりました。つまり、バックアップ ISP
インターフェイス用にフル機能のインターフェイスを使用
できるようになりました。backup interface コマンドは、
これまでどおり Easy VPN 設定用に使用できます。
VLAN の制限値も変更されました。ASA 5510 適応型セ
キュリティ アプライアンスの基本ライセンスでは 10 から
50 に、Security Plus ライセンスでは 25 から 100 に、ASA
5520 適応型セキュリティ アプライアンスでは 100 から
150 に、ASA 5550 適応型セキュリティ アプライアンスで
は 200 から 250 に増えています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
6-35
第6章
インターフェイスの設定
インターフェイスの機能履歴
表 6-1
インターフェイスの機能履歴 (続き)
機能名
リリース
ASA 5510 Security Plus ライセンスに対するギ 7.2(3)
ガビット イーサネット サポート
機能情報
ASA 5510 適応型セキュリティ アプライアンスの Security
Plus ライセンスで、ポート 0 と 1 に対する Gigabit
Ethernet(GE; ギガビット イーサネット)がサポートされ
るようになりました。基本ライセンスから Security Plus ラ
イセンスにアップグレードすると、外部の Ethernet0/0
ポートと Ethernet0/1 ポートのキャパシティが元の Fast
Ethernet(FE; ファスト イーサネット)(100 Mbps)から
GE(1000 Mbps)に増えます。インターフェイス名は
Ethernet 0/0 および Ethernet 0/1 のままになります。イン
ターフェイスの速度を変更するには speed コマンドを使用
し、インターフェイスごとに現在設定されている速度を確
認するには show interface コマンドを使用します。
ASA 5505 に対するネイティブ VLAN サポート 7.2(4)/8.0(4)
switchport trunk native vlan コマンドを使用して、ASA
5505 トランク ポートにネイティブ VLAN を割り当てるこ
とができるようになりました。
ASA 5510 基本ライセンスに対するギガビット 7.2(4)/8.0(4)
イーサネット サポート
ASA 5580 に対するジャンボ パケット サポート 8.1(1)
ASA 5510 適応型セキュリティ アプライアンスの基本ライ
センスで、ポート 0 と 1 に対する GE(ギガビット イーサ
ネット)がサポートされるようになりました(Security
Plus ライセンスに対するサポートはすでに追加されていま
す)。外部の Ethernet0/0 ポートと Ethernet0/1 ポートの
キャパシティが、元の FE(ファスト イーサネット)(100
Mbps)から GE(1000 Mbps)に増えています。インター
フェイス名は Ethernet 0/0 および Ethernet 0/1 のままにな
ります。インターフェイスの速度を変更するには speed コ
マンドを使用し、インターフェイスごとに現在設定されて
いる速度を確認するには show interface コマンドを使用し
ます。
Cisco ASA 5580 では、jumbo-frame reservation コマン
ドを入力すると、ジャンボ フレームがサポートされます。
ジャンボ フレームとは、標準の最大サイズである 1518 バ
イト(レイヤ 2 ヘッダーおよび FCS を含む)を超える、最
大 9216 バイトのイーサネット パケットです。イーサネッ
ト フレームを処理するためのメモリ容量を増やすことによ
り、すべてのインターフェイスに対してジャンボ フレーム
のサポートをイネーブルにできます。ジャンボ フレームに
割り当てるメモリを増やすと、他の機能(アクセスリスト
など)の最大使用量が制限される場合があります。
Adaptive Security Device Manager(ASDM; 適応性がある
安全装置デバイス マネージャ)で、[Configuration] >
[Device Setup] > [Interfaces] > [Add/Edit Interface] >
[Advanced] を参照してください。
ASA 5580 の VLAN 数の増加
8.1(2)
ASA 5580 でサポートされる VLAN 数が 100 から 250 に
増えました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
6-36
OL-18970-01-J
© Copyright 2026 Paperzz